Lua-resty-auto-ssl: Le domaine expiré n'est pas capturé et allow_domain n'est pas exécuté lors du renouvellement.

Créé le 11 juil. 2018 · 7Commentaires · Source: auto-ssl/lua-resty-auto-ssl

Deux problèmes connexes que nous avons rencontrés pour les renouvellements de certificats automatisés :

-Auto-ssl pense qu'un domaine est valide, alors que le whois indique qu'il a expiré il y a plusieurs mois et qu'il est en état de rédemption.
-allow_domain ne semble pas fonctionner pour le renouvellement automatique.

Domaine expiré (ne se résout nulle part)
Données WHOIS :
Date d'expiration du registre : 2018-05-22T01:19:25Z
Statut du domaine : période de rachat https://icann.org/epp#redemptionPeriod

2018/07/06 17:58:11 [error] 3233#3233: *42151 [lua] lets_encrypt.lua:41: issue_cert(): auto-ssl: dehydrated failed: env HOOK_SECRET=74b9b9da3dc257b6f00948fc00b9117beab9fb356fb129a22dd6893c18a9cca3 HOOK_SERVER_PORT=8999 /usr/local/openresty/luajit/bin/resty-auto-ssl/dehydrated --cron --accept-terms --no-lock --domain www.expireddomain.com --challenge http-01 --config /etc/resty-auto-ssl/letsencrypt/config --hook /usr/local/openresty/luajit/bin/resty-auto-ssl/letsencrypt_hooks status: 256 out: # INFO: Using main config file /etc/resty-auto-ssl/letsencrypt/config
Processing www.expireddomain.com
+ Checking domain name(s) of existing cert... unchanged.
+ Checking expire date of existing cert...
+ Valid till Aug 6 00:52:58 2018 GMT (Less than 30 days). Renewing!
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting authorization for www.expireddomain.com...
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for www.expireddomain.com authorization...
Invalid challenge: DOMAIN=www.expireddomain.com RESPONSE={
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:acme:error:dns",
"detail": "DNS problem: NXDOMAIN looking up A for www.expireddomain.com",
"status": 400
},
"uri": "https://acme-v01.api.letsencrypt.org/acme/challenge/bP_FGFj0H6027YXEVXwUTr0hgPYU3p4ux70J03YgJcg/5508927882",
"token": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"keyAuthorization": "xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok.BmCf6H2DAkLb8K_367ROMmY9nfcTaEk0ovuF_zhtU1M",
"validationRecord": [
{
"url": "http://www.expireddomain.com/.well-known/acme-challenge/xBzqCypg7iDi6AUTXlmc65C8MtifK14wAQOjh76Z4ok",
"hostname": "www.expireddomain.com",
"port": "80"
}
]

Allow_domain ne semble pas fonctionner sur les renouvellements automatisés
-C'est un problème lorsqu'un domaine a été déplacé vers un autre fournisseur et ne se résout plus sur nos serveurs
-Si allow_domain était exécuté sur des renouvellements de certificats automatisés, cela résoudrait également le problème de domaine expiré, car notre script allow_domain vérifie la résolution DNS. Ce qui échoue évidemment, comme le rapporte Letsencrypt.

Source

danDanV1

Commentaire le plus utile

Pas de problème @edeis53
J'avais l'intention de faire une demande d'extraction avec ceci et le support de suppression des certificats expirés, je verrai si je ne peux pas y arriver.

brianlund le 14 juil. 2018

👍8 ❤2

Tous les 7 commentaires

J'ai eu le même problème car nous traversons de nombreux domaines et j'ai ajouté le code ci-dessous à la fonction refresh_check_cert dans renouvellement.lua pour vérifier le domaine avant de l'autoriser. De plus, je supprime également les domaines expirés pour éviter que cela ne se reproduise à chaque fois.

-- Verify domain before we issue a renewal request. local allow_domain = auto_ssl_instance:get("allow_domain") if not allow_domain(domain) then ngx.log(ngx.NOTICE, "auto-ssl: domain not allowed - not renewing - ", domain) return end

brianlund le 11 juil. 2018

Merci @brianlund.

Ce serait bien si le refresh_check_cert était configurable pour éviter d'avoir à maintenir notre propre fork.

danDanV1 le 14 juil. 2018

Pas de problème @edeis53
J'avais l'intention de faire une demande d'extraction avec ceci et le support de suppression des certificats expirés, je verrai si je ne peux pas y arriver.

brianlund le 14 juil. 2018

👍8 ❤2

@brianlund

Est-il possible de supprimer des domaines en cas d'erreur DNS lors du renouvellement ? Détails au #173

prionkor le 28 juin 2019

@prionkor cela ne résout-il pas votre problème ? https://github.com/GUI/lua-resty-auto-ssl/pull/128

brianlund le 20 août 2019

Je pense que cela devrait être résolu dans la v0.13.0 entre la combinaison de #176 et #128. Désolé pour le long retard dans la résolution de ce problème ! Je vais donc fermer ceci, mais faites-moi savoir s'il y avait encore des problèmes en suspens avec le comportement dans la nouvelle version.